Ekonomija izsiljevalskih napadov se premika proti neposrednemu izsiljevanju podatkov
Googlovo raziskovalno poročilo o aktivnosti izsiljevalskih napadov (ransomware) v preteklem letu poudarja, kako se kibernetski kriminal razvija in hkrati zamegljuje naše skupno razumevanje njegovega dejanskega obsega in vpliva.
Ransomware ostaja resen problem, ki sicer kaže nekatere znake umirjanja, vendar so odzivne ekipe in lovci na grožnje bolj zaposleni kot kadarkoli prej. Razlog je v tem, da se vse več finančno motiviranih napadalcev usmerja izključno v krajo podatkov za namen izsiljevanja.
Ransomware napadi pogosto vključujejo tudi krajo podatkov kot dodatni pritisk za izsiljevanje in sicer v 77 % vdorov, ki jih je Google zaznal lani (v primerjavi s 57 % v letu 2024). Vendar tak napad tehnično ni ransomware, če ne vključuje šifriranja podatkov.
»V zadnjih nekaj letih opažamo postopno rast deleža finančno motiviranih incidentov, ki vključujejo izključno izsiljevanje na podlagi kraje podatkov – ta delež je zrasel z okoli 2 % v letu 2020 na več kot 15 % v letu 2025,« je povedala Bavi Sadayappan, višja analitičarka za obveščevalne podatke o grožnjah pri GTIG.
»V istem obdobju pa je delež incidentov, ki vključujejo uporabo ransomware-a, nihal. V zadnjem letu smo celo zaznali upad in sicer z 39 % v letu 2024 na 31 % v letu 2025,« je dodala.
Težava merjenja dejanskega obsega napadov
Podjetje ni želelo razkriti natančnega števila ransomware napadov, na katere so se odzvali v letu 2025.
»Zadržani smo pri deljenju absolutnih številk, ker je zelo težko enotno opredeliti, kaj pomeni en incident in kaj dva,« je povedal Chris Linklater iz podjetja Mandiant. »Lahko pa rečem, da smo izjemno zaposleni.«
Genevieve Stark je poudarila, da ima industrija velike težave pri oblikovanju jasne slike o dejanskem obsegu in vplivu ransomware napadov. Večina vpogleda temelji na posameznih primerih, ki jih obravnavajo posamezna podjetja, podatki pa se delijo razdrobljeno, ne centralizirano.
»Kot industrija ne opravljamo dobrega dela pri razumevanju obsega. Preveč se zanašamo na metrike, kot so objave na straneh za razkritje podatkov, ki pa imajo veliko pomanjkljivosti,« je dejala.
Strani za razkritje podatkov: nezanesljiv kazalnik
Povečanje izsiljevanja podatkov verjetno prispeva k večjemu številu objav na teh straneh. Hkrati pa nekatere napadalne skupine objavljajo nepreverjene ali celo reciklirane podatke ter jih predstavljajo kot nove vdore.
»Kot kazalnik so strani za razkritje podatkov precej slabe, a se industrija nanje preveč zanaša,« je dodala Stark.
Kljub temu so ti podatki še vedno uporabni za zaznavanje trendov, kot so spremembe v ciljanju ali povečanje napadov na določene sektorje ali regije.
Google navaja, da se je število objav na teh straneh povečalo za 48 % in v letu 2025 doseglo 7.784 objav. Število unikatnih strani za razkritje podatkov pa se je prav tako povečalo za skoraj 35 %, na skupno 128 strani.
Kako napadalci vstopajo v sisteme
Googlovo poročilo analizira tudi taktike napadalcev in spremembe v načinih napadov.
Najpogostejši začetni vektor v ransomware napadih so bile izkoriščene ranljivosti, ki so predstavljale tretjino vseh incidentov. Sledili so kompromitacija spletnih aplikacij in kraja poverilnic.
Napadalci so najpogosteje izkoriščali ranljivosti v široko uporabljenih VPN rešitvah in požarnih zidovih ponudnikov, kot so Fortinet, SonicWall, Palo Alto Networks in Citrix.
Zach Riddle iz GTIG poudarja, da to ne pomeni novega trenda, temveč ciklični vzorec – različni vektorji dostopa se skozi leta izmenjujejo glede na okoliščine.
Google je posebej izpostavil 13 ranljivosti, med katerimi so mnoge stare več let, a še vedno sodijo med najbolj izkoriščane. Med njimi so ranljivosti v rešitvah Fortinet, Microsoft, Veritas, SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP in Zoho.
Kraja poverilnic ostaja ključna
Kraja poverilnic ostaja eden ključnih vstopnih vektorjev za napadalce, čeprav je bila v letu 2025 nekoliko manj pogosta kot v preteklosti.
V 21 % incidentov, kjer je bil začetni vektor dostopa jasno identificiran, so napadalci uporabili kompromitirane legitimne poverilnice za dostop do okolja žrtve. Najpogosteje je šlo za prijavo v sisteme prek VPN povezav ali prek oddaljenega dostopa z uporabo protokola RDP (Remote Desktop Protocol).
Izvor ukradenih poverilnic pogosto ni povsem znan, vendar obstaja več dobro uveljavljenih metod njihove pridobitve. Napadalci jih lahko kupijo na podzemnih forumih ali pa jih pridobijo iz t. i. infostealer zapisov, kjer zlonamerna programska oprema zbira in iznaša prijavne podatke iz okuženih naprav.
To dodatno potrjuje dejstvo, da napadi danes vse manj temeljijo na tehničnem “vdoru” v sisteme in vse bolj na zlorabi legitimnih dostopov, kar organizacijam otežuje zaznavanje in preprečevanje napadov, saj se ti pogosto odvijajo znotraj okvirov navidezno legitimnega vedenja.
Manj uspešnega nameščanja ransomware-a
Napadalci se po vdoru soočajo z vse več izzivi pri dejanskem nameščanju ransomware-a v okolju žrtve.
»Opazili smo upad uspešnih implementacij ransomware-a,« je dejala Sadayappan. Delež je padel z 54 % v letu 2024 na 36 % v letu 2025.
Ta trend kaže, da organizacije vse uspešneje zaznavajo in zaustavljajo napadalce v fazah po začetnem dostopu še preden pride do šifriranja sistemov. V praksi to pomeni, da so obrambni mehanizmi, kot so izboljšano zaznavanje lateralnega gibanja, nadzor privilegiranih dostopov in odzivni postopki, začeli učinkoviteje prekiniti napad v kritični fazi.
Hkrati pa ta podatek ne pomeni, da je grožnja manjša – ravno nasprotno. Ker napadalci težje uspešno izvedejo šifriranje, se vse pogosteje odločajo za alternativne pristope, predvsem za krajo podatkov in izsiljevanje brez uporabe ransomware-a, kar dodatno potrjuje premik v ekonomiji kibernetskega kriminala.
Nova tarča: virtualizacijska infrastruktura
Ena ključnih sprememb v letu 2025 je povečano ciljanje virtualizacijskih okolij, kot so VMware ESXi hipervizorji.
Napadalci so ciljali takšna okolja v 43 % primerov (v primerjavi z 29 % leto prej).
»To napadalcem omogoča, da z minimalnim naporom prizadenejo veliko število sistemov,« je pojasnil Linklater. Hkrati pa napadi na hipervizorje otežujejo forenzične preiskave, saj se veliko dokazov izgubi.
Virtualizacijska infrastruktura namreč predstavlja koncentracijsko točko sodobnih IT okolij – na enem fizičnem strežniku lahko teče več deset ali celo sto virtualnih sistemov. Uspešen napad na hipervizor zato pomeni, da napadalec ne kompromitira le ene naprave, temveč celoten sklop kritičnih storitev hkrati.
Poleg tega so takšna okolja pogosto slabše nadzorovana z vidika varnostne vidljivosti in zaščite, saj tradicionalna varnostna orodja niso vedno prilagojena za delovanje na ravni hipervizorjev. To napadalcem omogoča večjo diskretnost, hkrati pa organizacijam otežuje zaznavanje, odziv in kasnejšo analizo incidenta.
Ta trend jasno kaže, da se napadi selijo proti infrastrukturnim slojem, kjer je učinek največji in kjer lahko napadalci z enim uspešnim vdorom povzročijo največjo poslovno škodo.
Najaktivnejše ransomware skupine
Med najbolj izpostavljenimi ransomware skupinami v letu 2025 so bile: Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub in Fireflame.
Najbolj aktivne skupine pa so bile: Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce in Sinobi.
Premik k izsiljevanju podatkov brez šifriranja
Napadi, ki temeljijo izključno na kraji podatkov, še niso pogostejši od klasičnih ransomware napadov, vendar trend jasno kaže v to smer.
»Če pogledamo akterje v angleško govorečem podzemlju, se večina danes osredotoča izključno na izsiljevanje s krajo podatkov,« je povedala Genevieve Stark.
Sem sodijo skupine, kot so Scattered Spider, ShinyHunters in Clop, ki so odgovorne za nekatere največje in najbolj odmevne napade v zadnjih letih.
Ta premik ni naključen. Izsiljevanje brez šifriranja je za napadalce pogosto hitrejše, manj tvegano in operativno enostavnejše. Namesto da bi morali razvijati ali uporabljati kompleksno ransomware infrastrukturo ter tvegati zaznavo med procesom šifriranja, lahko napadalci dosežejo enak – ali celo večji – finančni učinek zgolj z grožnjo razkritja občutljivih podatkov.
Poleg tega organizacije danes vse pogosteje uspejo zaustaviti napad še pred fazo šifriranja, kar zmanjšuje učinkovitost klasičnega ransomware pristopa. Kraja podatkov pa se pogosto zgodi tiho, brez takojšnjih motenj v delovanju, kar napadalcem omogoča več časa za izsiljevanje in povečuje pritisk na žrtev.
Ta trend jasno kaže, da se kibernetski kriminal premika od tehničnega onemogočanja sistemov k neposrednemu izkoriščanju poslovnih tveganj – predvsem ugleda, skladnosti in zaupnosti podatkov. Za organizacije to pomeni, da zaščita sistemov ni več dovolj; ključna postaja zaščita podatkov, identitet in nadzor nad tem, kdo ima do njih dostop.
Zaključek: kaj ta premik pomeni za podjetja
Googlovo poročilo jasno kaže, da ne gre več zgolj za razvoj napadalnih tehnik, temveč za spremembo same logike kibernetskega kriminala. Klasično razumevanje ransomware napadov kot šifriranja sistemov postaja vse bolj nezadostno, saj napadalci vse pogosteje ciljajo podatke in z njimi na poslovni pritisk.
Namesto vidnih in takojšnjih motenj se napadi danes pogosto odvijajo tiho. Napadalci zlorabijo legitimne dostope, se neopazno premikajo po okolju in zbirajo podatke, ki jih kasneje uporabijo za izsiljevanje. To pomeni, da ključni izziv za organizacije ni več zgolj preprečevanje vdora, temveč razumevanje, kaj se znotraj njihovih sistemov dejansko dogaja.
V takšnem okolju tradicionalni varnostni pristopi, ki temeljijo na zaščiti oboda, ne zadoščajo več. V ospredje stopajo upravljanje identitet, nadzor dostopov, vidljivost nad uporabo podatkov ter sposobnost hitrega zaznavanja in odziva. Podatki postajajo primarna tarča in njihova zaščita ključni element varnostne strategije.
Na koncu se razlika med incidentom in resno poslovno krizo pogosto skriva v hitrosti zaznave in odziva. Zato varnost danes ni več zgolj tehnično vprašanje, temveč strateška odločitev poslovodstev: ali imamo nadzor nad svojim okoljem ali pa ga ima nekdo drug.
Celoten članek je nastal na podlagi izhodiščnega zapisa Matt Kapko-ta, novinarja pri Cyberscoop in pa obširnega Googlovega raziskovalnega poročila, ki ga kot vir navajamo že v prvem odstavku tega zapisa.